La vulnerabilidad Log4J, usada para infectar equipos con ransomware Khonsari y también con un troyano de acceso remoto llamado Orcus.

Si alguien se pensaba que íbamos a tener un fin de año algo tranquilo, se equivocaba. El último mes del año quiere despedirse por todo lo alto, y no de los grandes protagonistas está siendo una nueva y gravísima vulnerabilidad llamada Log4J. Este exploit, descubierto hace unos días, ya está siendo aprovechado por algunos grupos de ciberdelincuentes, según ha informado Bitdefender, para intentar atacar sistemas con Windows instalado. Al parecer, esta vulnerabilidad estaría sirviendo como puerta a la introducción de una nueva familia de ransomware llamada Khonsari. Y si esto no fuera suficiente, los cibercriminales también han conseguido introducir un troyano de acceso remoto llamado Orcus. Según han revelado, el ataque aprovecha un error de ejecución remota del código para descargar un binario .NET de un servidor remoto. Una vez descargado, encripta todos los archivos con la extensión «.khonsari». Usan la vulnerabilidad Log4J para infectar equipos con Khonsari.

Log4J, también conocida por el nombre Log4Shell, representa una grave amenaza a la seguridad de los sistemas. CISA ha añadido esta vulnerabilidad a su Catálogo de Vulnerabilidades Explotadas, y lanzado un mensaje de advertencia. Dicha advertencia no es otra que instar a las agencias federales estadounidenses a incorporar parches para corregir el error lo antes posibles. Agencias federales otros países (Canadá, Reino Unido o Austria) han hecho lo propio. En caso de obviar estas advertencias, los sistemas podrían estar en grave riesgo ya que un ataque ransomware daría acceso sin restricciones a los ciberdelincuentes. Ya están apareciendo casos de intentos de conectar dispositivos a una botnet y ejecutar Cobalt Strike y mineros de criptomonedas. Además, Sophos ha advertido de intentos de ex-filtrar claves y otros datos privados de Amazon Web Services. La evolución de este exploit está siendo muy rápida, y es necesario frenarlo con carácter urgente.

¿Dónde se están dando los mayores intentos de explotación de Log4J?

La gran mayoría de los intentos de explotación con Log4SJ se han dado en Rusia con 4.275, según datos de telemetría publicados por Kaspersky. El segundo país es Brasil con 2.493; EE. UU. se encuentra en la tercera posición con 1.746; Alemania es cuarta con 1.336; México también aparece en la lista con 1.177 intentos; Italia con 1.094, Francia con 1.008, e Irán con 976 cierran la lista. Sorprende ver que China se encuentra lejos de las cifras de los países mencionados, con solo 351 intentos. Jen Easterly, Director de CISA, ha comentado de la vulnerabilidad que: -«Esta vulnerabilidad representa un riesgo grave. La vulnerabilidad, que está siendo ampliamente explotada por un conjunto creciente de actores de amenazas, presenta un desafío urgente para los defensores de la red dado su amplio uso. Los proveedores también deben comunicarse con sus clientes para asegurarse de que los usuarios sepan que su producto contiene esta vulnerabilidad y deben priorizar las actualizaciones de software»-. Usan la vulnerabilidad Log4J para infectar equipos con Khonsari.